IT-säkerhetspolicy

Avgränsning

Denna policy avser säkerheten i IT-system, med detta avses data- och informationssystem, datanät, datorer och övrig datautrustning.

Mål

Målet med IT-säkerhetsarbetet vid Högskolan i Borås är att skydda högskolan, anställda, studerande och allmänheten, från omfattande skador eller kostnader orsakade av störningar i IT-systemen. Målet är också att säkerställa att högskolan kan använda kommunikationsnät, datasystem och datorer utan onödiga störningar, och med avsedd funktion och hög tillgänglighet.

Ansvar

Ytterst är styrelse och rektor ansvariga för högskolans IT-säkerhet. Rektor fastställer IT-säkerhetspolicyn och efter behov kompletterande riktlinjer. Det praktiska ansvaret för IT-säkerheten ska fördelas så att

  • Verksamhetsansvariga (prefekt, enhetschef eller motsvarande) har ansvaret för IT-säkerheten vid respektive enhet (institution/motsvarande). Om särskild systemägare är utsedd, ansvarar denne för IT-säkerheten i respektive system.
  • För centrala eller gemensamma system och resurser ska särskild systemägare utses av förvaltningschef.
  • Varje IT-användare ansvarar för sin egen IT-säkerhet i enlighet med vad som sägs i regler och ansvarsförbindelse. Samtliga användare ska godkänna en ansvarsförbindelse som tydliggör deras ansvar innan de får tillgång till resurser.
  • Övervakning, loggning och utredning av intrång mm uppdras till ”Incident Response Team” (IRT) vid IT-avdelningen.

Säkerhetsnivåer och skyddsåtgärder

I allt säkerhetsarbete ska skyddet av liv, hälsa och personlig integritet värderas högst.

Säkerhetsnivåer och skyddsåtgärder för IT-säkerheten vid högskolan ska utformas så, att målen för IT-säkerheten uppnås till rimliga kostnader, och utan att den dagliga verksamheten försvåras mer än nödvändigt.

Bedömningar av hotbild och konsekvenser av störningar ska göras regelbundet och systematiskt.

IT-säkerheten vid högskolan ska vara utformad i enlighet med gällande lagar och regler.

Skyddsåtgärder för IT-säkerheten ska där så är möjligt baseras på standarder eller de facto-standarder.

Regler och riktlinjer

Var och en ansvarar för säkerhet i samband med egen datoranvändning. Högskolan är ansluten till SUNET och är därmed skyldig att följa SUNET:s regler. Dessutom finns följande lokala regler vid användandet högskolans IT-resurser:

  • Regler för nyttjande av Högskolan i Borås datanätverk
  • User agreement for the usage of the computer network at the University
    of Borås 
  • Ansvar, befogenheter och skyldigheter för systemadministratör 
  • Ansvar, befogenheter och skyldigheter för systemadministratör i incidentgrupp

Utöver ovanstående kan systemägare/verksamhetsansvarig utfärda anvisningar för egna system och ansvarar då också för informationen om förekomsten av sådana anvisningar.

Information och utbildning

Verksamhetsansvariga ansvarar för att anställda inom den egna enheten har nödvändiga kunskaper om IT-säkerhet.

De särskilt utsedda systemägarna ansvarar för att informations- och utbildningsmaterial tas fram för centrala och gemensamma system. Systemägarna ansvarar också för att information till och utbildning av användarna initieras.

Program- och kursansvariga ansvarar för att de studerande får information och utbildning om IT-säkerhet.

Avbrottsplanering

Avbrottsplanering ska genomföras för alla IT-system där längre avbrott kan orsaka stor skada för högskolan, anställda, studenter eller andra berörda.

Upphandling och utveckling

Vid upphandling och utveckling av IT-system och IT-tjänster ska säkerhetskraven alltid beaktas. Krav på IT-säkerhet ska ingå i kravspecifikationen och avtalet, såvida det inte uppenbart är obehövligt.

Extern drift och tjänst

Om en annan part utför tjänst eller uppdrag åt högskolan där IT-tjänster eller IT-system utgör en viktig del, ska högskolan genom avtal försäkra sig om att parten upprätthåller en IT-säkerhet som motsvarar högskolans krav.

Extern användning av högskolans IT-resurser

Om en annan part får tillgång till eller kan utnyttja högskolans IT-resurser, ska högskolan genom avtal försäkra sig om att nyttjandet sker i enlighet med högskolans regler och riktlinjer, och att parten upprätthåller en IT-säkerhet som motsvarar högskolans krav.